常见攻击防御技术教学课件

常见攻击防御技术常见攻击防御技术1、合法而稳定的权力在使用得当时很少遇到抵抗。塞约翰逊2、权力会使人渐渐失去温厚善良的美德。伯克3、最大限度地行使权力总是令人反感；权力不易确定之处始终存在着危险。塞约翰逊4、权力会奴化一切。塔西佗5、虽然权力是一头固执的熊，可是金子可以拉着它的鼻子走。莎士比Slide2Slide3Slide4Slide5Slide6 典型人物Linus Torvalds 李纳斯托沃兹 Slide7 典型人物Kevin Mitnick 凯文米特尼克 Slide8 典型人物Robert Morris 罗伯特莫里斯1988年，莫里斯蠕虫病毒震撼了整个世界。由原本寂寂无名的大学生罗伯特莫里斯制造的这个蠕虫病毒入侵了大约6000个大学和军事机构的计算机，使之瘫痪。1990年，Morris因这个蠕虫的破坏被判有罪并处以3年缓刑、1万美元罚金和400小时的社区义务劳动。Slide9 Hacker的泛滥90年代末期开始，hacker已经成为了攻击者、破坏者的代名词，越来越多的人利用自己的技术进行入侵、盗窃、欺骗等Slide10 黑客的分类灰帽子破解者破解已有系统发现问题/漏洞突破极限/禁制展现自我计算机计算机 为人民服务为人民服务漏洞发现-袁哥等软件破解-0 Day工具提供-Numega白帽子创新者设计新系统打破常规精研技术勇于创新没有最好，没有最好，只有更好只有更好MS -Bill GatesGNU -R.StallmanLinux -Linus善善黑帽子破坏者随意使用资源恶意破坏散播蠕虫病毒商业间谍人不为己，人不为己，天诛地灭天诛地灭入侵者-K.米特尼克CIH -陈英豪攻击Yahoo者-匿名恶恶渴求自由Slide11 目录第一章第一章 黑客发展背景黑客发展背景第二章第二章 黑客一般攻击黑客一般攻击第三章第三章 黑客攻击前的准备黑客攻击前的准备Slide12 黑客攻击分类被动攻击主动攻击 物理临近攻击 内部人员攻击 软硬件装配分发攻击 Slide13预攻击探测预攻击探测收集信息收集信息,如如OSOS类型类型,提供的服务端口提供的服务端口采取攻击行为采取攻击行为获得攻击目标的控制权获得攻击目标的控制权继续渗透网络继续渗透网络,直至获取机密数据直至获取机密数据消灭踪迹消灭踪迹破解口令文件破解口令文件,或利用缓存溢出漏洞或利用缓存溢出漏洞寻找网络中其它主机的信息和漏洞寻找网络中其它主机的信息和漏洞隐藏自己隐藏自己 黑客攻击一般过程Slide14 典型攻击过程预攻击预攻击内容：内容：获得域名及IP分布获得拓扑及OS等获得端口和服务获得应用系统情况跟踪新漏洞发布目的：目的：收集信息，进行进一步攻击决策攻击攻击内容：内容：获得远程权限进入远程系统提升本地权限进一步扩展权限进行实质性操作目的：目的：进行攻击，获得系统的一定权限后攻击后攻击内容：内容：删除日志修补明显的漏洞植入后门木马进一步渗透扩展进入潜伏状态目的：目的：消除痕迹，长期维持一定的权限Slide15 黑客攻击通常思路Slide16从已经取得控制权的主机上通过 telnet或 rsh 跳跃从 windows 主机上通过 wingates 等服务进行跳跃利用配置不当的代理服务器进行跳跃先通过拨号找寻并连入某台主机，然后通过这台主机 隐藏自身 黑客攻击的一般过程Slide17预攻击探测预攻击探测收集信息收集信息,如如OSOS类型类型,提供的服务端口提供的服务端口采取攻击行为采取攻击行为获得攻击目标的控制权获得攻击目标的控制权继续渗透网络继续渗透网络,直至获取机密数据直至获取机密数据消灭踪迹消灭踪迹破解口令文件破解口令文件,或利用缓存溢出漏洞或利用缓存溢出漏洞寻找网络中其它主机的信息和漏洞寻找网络中其它主机的信息和漏洞隐藏自己隐藏自己 黑客攻击一般过程Slide18相关命令获取手工获取banner漏洞扫描技术预攻击探测 黑客攻击的一般流程Slide19 预攻击探测相关网络命令IfconfignetstatePingTracert rusers和和finger hostSlide20 相关网络命令-PingC:ping 192.168.0.162C:ping 192.168.0.162Pinging 192.168.0.162 with 32 bytes of data:Pinging 192.168.0.162 with 32 bytes of data:Reply from 192.168.0.162:bytes=32 time10ms TTL=Reply from 192.168.0.162:bytes=32 time10ms TTL=128128Reply from 192.168.0.162:bytes=32 time10ms TTL=Reply from 192.168.0.162:bytes=32 timeping 192.168.0.241C:ping 192.168.0.241Pinging 192.168.0.241 with 32 bytes of data:Pinging 192.168.0.241 with 32 bytes of data:Reply from 192.168.0.241:bytes=32 time10ms TTL=Reply from 192.168.0.241:bytes=32 time10ms TTL=255255Reply from 192.168.0.241:bytes=32 time10ms TTL=Reply from 192.168.0.241:bytes=32 timesv101_type&SV_TYPE_DOMAIN_CTRL)|(pBuf-sv101_type&SV_TYPE_DOMAIN_BAKCTRL)|(pBuf-sv101_type&SV_TYPE_SERVER_NT)printf(“This is a servern”);/检测结果为服务器 else printf(“This is a workstationn”);/检测结果为工作站 /否则，打印错误信息 else fprintf(stderr,A system error has occurred:%dn,nStatus);/释放系统的分配内存 if(pBuf!=NULL)NetApiBufferFree(pBuf);return 0;Slide34 TCP/IP协议栈FIN探测 BOGUS（伪造）标记位探测 TCP ISN 取样“无碎片”标记位 TCP 初始化“窗口”ACK值ICMP错误信息查询 ICMP信息引用Slide35 其他识别方式（TTL）TTL=64 LINUX Kernel 2.2.X&2.4.xTTL=255 FreeBSD4.1、4.0、3.4 Sun Solaris2.5.1、2.6、2.7、2.8 OpenBSD2.6、2.7 HP UX 10.20TTL=32 Windows95/98/98SE/METTL=128 Windows NT4/2000Slide36 预攻击探测活动主机的扫描操作系统扫描端口扫描技术帐号扫描漏洞扫描漏洞扫描技术漏洞扫描技术Slide37 端口扫描技术Slide38 端口扫描技术端口扫描依据的规则ACK：确认标志RST：复位标志URG：紧急标志SYN：建立连接标志PSH：推标志FIN：结束标志TCP标志位Slide39 端口扫描技术TCP connect端口扫描TCP SYN端口扫描TCP FIN标志端口扫描TCP ACK标志端口扫描TCP NULL标志端口扫描TCP SYN|ACK标志端口扫描TCP XMAS标志端口扫描UDP应答端口扫描UDP端口不可到达扫描Slide40（1）TCP connect扫描 这是最基本的扫描方式。如果目标主机上的某个端口处于侦听状态，可根据其IP地址和端口号使用标准的connect()调用来与之建立连接。若目标主机未开放该端口，则connect操作失败。因此，使用这种方法可以检测到目标主机开放了那些端口。在执行这种扫描方式时，不需要对目标主机拥有任何权限。（2）TCP SYN 扫描 这种技术通常认为是“半”扫描，扫描程序发送一个SYN数据包，等待目标主机的应答。如果目标主机返回SYN|ACK，表示端口处于侦听状态。若返回RST，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序发送一个RST数据包，来终止这个连接。这种扫描技术的优点在于一般不会再目标计算机上留下纪录。但要求攻击者在发起攻击的计算机上必须有root权限，因为不是通过标准的connect调用来扫描端口，必须直接在网络上向目标主机发送SYN和RST数据包。端口扫描技术（一）Slide41（3）TCP FIN 扫描 向目标主机的某个端口发送FIN数据包，若端口处于侦听状态，目标主机不会回复FIN数据包。相反，若端口未被侦听，目标主机会用适当的RST来回复。这种方法须依赖于系统的实现。某些系统对所有的FIN一律回复RST，不管端口是否打开。在这种情况下，TCP FIN扫描就不适用了。（4）IP分片扫描 这种方法不直接发送TCP探测数据包，而是预先将数据包分成两个较小的IP数据包传送给目标主机。目标主机收到这些IP段后，会把它们组合还原为原先的TCP探测数据包。将数据包分片的目的是使他们能够通过防火墙和包过滤器，将一个TCP分为几个较小的数据包，可能会穿过防火墙而到达目标主机。端口扫描技术（二）Slide42FINFIN的包（或者是任何没有的包（或者是任何没有ACKACK或或SYNSYN标记的包）标记的包）开放端口开放端口是否是是否是MS-WINDOWSMS-WINDOWS，BSDIBSDI，CISCOCISCO，HP/UX HP/UX，MVSMVS和和IRIXIRIX系统系统RESET RESET 是是 否否Slide43（5）UDP端口扫描 许多主机在你向一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACH错误，需要root权限。（6）UDP recvfrom()和write()扫描 如果攻击者在发起攻击的计算机上没有root权限，它不能读到端口不可达（ICMP_PORT_UNREACH）错误数据包。在Linux中可以间接的检测到是否收到了目标主机的这个应答数据包。例如，对一个未侦听端口的第二个write()调用将失败。在非阻塞的UDP套接字上调用recvfrom()时，如果未收到这个应答，返回EAGAIM（其意思是可以重试）。如果收到这个应答，则返回ECONNREFUSED（连接被拒绝）。可以根据recvfrom（）和write（）的返回字来判断目标主机是否发送了ICMP_PORT_UNREACH应答。端口扫描技术（三）Slide44 预攻击探测活动主机的扫描操作系统扫描端口扫描技术帐号扫描漏洞扫描漏洞扫描技术漏洞扫描技术Slide45 帐号扫描利用Finger服务探测用户信息通过NetBios探测用户信息Slide46 Finger服务探测Slide47 NetBios探测Slide48 预攻击探测活动主机的扫描操作系统扫描端口扫描技术帐号扫描漏洞扫描漏洞扫描技术漏洞扫描技术Slide49 漏洞扫描获取服务版本发送扫描探测包，检查返回结果。模拟客户尝试与服务器连接模拟攻击，检查攻击结果。Slide50预攻击探测预攻击探测收集信息收集信息,如如OSOS类型类型,提供的服务端口提供的服务端口采取攻击行为采取攻击行为获得攻击目标的控制权获得攻击目标的控制权继续渗透网络继续渗透网络,直至获取机密数据直至获取机密数据消灭踪迹消灭踪迹破解口令文件破解口令文件,或利用缓存溢出漏洞或利用缓存溢出漏洞寻找网络中其它主机的信息和漏洞寻找网络中其它主机的信息和漏洞隐藏自己隐藏自己 黑客攻击一般过程Slide51 常见攻击行为暴力猜解利用已知漏洞攻击特洛伊木马拒绝服务攻击嗅探sniffer社会工程Slide52 暴力猜解就是从口令侯选器中一一选取单词，或用枚举法选取，然后用各种同样的加密算法进行加密再比较。一致则猜测成功，否则再尝试。口令候选器枚举法口令加密口令比较获取口令的方法防御方法 暴力猜解Slide53 暴力猜解可被猜解的协议Telnet、Ftp、Ssh、RexecHttp、Https、Nntp、CvsHttp-Proxy、Socks5LDAP、SMB、AAASmtp、Pop3、Imap、SnmpMs-sql、My-sqlSlide54 暴力猜解攻击攻击实例：破解Win2000用户密码Slide55 暴力猜解攻击尝试MSSQLServer管理员sa的空密码Slide56 常见攻击行为暴力猜解利用已知漏洞攻击特洛伊木马拒绝服务攻击嗅探sniffer社会工程Slide57 利用已知漏洞的攻击p远程溢出攻击Windows RPC-DCOM、LSASS、NetDDEIIS Webdav、.asp、.htr、.ida、.idq、.printerMSSQL 2000/MSDE Hello/Resolution OverflowWu-ftp、Ws-ftp、Serv-uApache Chunked EncodingSolaris telnetd、Dtspcd、sadmind、DistCCp本地溢出内核溢出应用溢出权限配置不当Slide58 缓冲区溢出攻击缓冲区溢出技术原理 通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。Slide59 防止缓冲区溢出攻击的方法不使用不安全的数据拷贝函数在往缓冲区中填充数据时必须进行边界检查。尽量动态分配内存以存储数据，不要使用固定大小的缓冲区使用进行边界检查的编译器使用户堆栈段不可执行程序尽量不设置suid/sgid属性Slide60 常见攻击行为暴力猜解利用已知漏洞攻击特洛伊木马拒绝服务攻击嗅探sniffer社会工程Slide61 什么是特洛伊“特洛伊木马”来源于希腊神话，讲述的是通过一个木马血屠特洛伊城的故事。这一故事形象地说明了木马程序的工作原理。它一般有两个程序：一个是服务器端程序，一个是客户端程序。服务器端程序的上传和自加载Slide62 安装后门上传并执行后门程序Slide63 安装后门远程控制后门程序Telnet/文件传输Slide64 后门攻击技术程序的自加载运行程序的自加载运行 加载程序到启动组 写程序启动路径到注册表的run 添加到系统服务 注射到其它常运行程序中 通过修改Explorer.exe启动参数等Slide65 常见攻击行为暴力猜解利用已知漏洞攻击特洛伊木马拒绝服务攻击拒绝服务攻击嗅探sniffer社会工程Slide66 拒绝服务攻击 “拒绝服务攻击（Denial of Service）”的方法，简称DoS。它的恶毒之处是通过向服务器发送大量的虚假请求，服务器由于不断应付这些无用信息而最终筋疲力尽，而合法的用户却由此无法享受到相应服务，实际上就是遭到服务器的拒绝服务。Slide67 拒绝服务攻击-smurfsmurf攻击攻击 Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃 Slide68 smurf攻击attackerattackertargettargetbroadcastecho request 源地址被欺骗为被攻击主机地址源地址被欺骗为被攻击主机地址目标机器会接收很多来自中介网络的请求目标机器会接收很多来自中介网络的请求中介网络中介网络放大器放大器Denial of ServiceSlide69 smurf 防御Smurf的攻击平台:smurf为了能工作，必须要找到攻击平台，这个平台就是：其路由器上启动了IP广播功能。这个功能允许smurf发送一个伪造的ping信息包，然后将它传播到整个计算机网络中。为防止系统成为smurf攻击的平台，要将所有路由器上IP的广播功能都禁止。一般来讲，IP广播功能并不需要。攻击者也有可能从LAN内部发动一个smurf攻击，在这种情况下，禁止路由器上的IP广播功能就没有用了。为了避免这样一个攻击，许多操作系统都提供了相应设置，防止计算机对IP广播请求做出响应。如果攻击者要成功地利用你成为攻击平台，你的路由器必须要允许信息包以不是从你的内网中产生的源地址离开网络。配置路由器，让它将不是由你的内网中生成的信息包过滤出去，这是有可能做到的。这就是所谓的网络出口过滤器功能。Slide70 拒绝服务攻击-分布式拒绝服务攻击分布式拒绝服务攻击分布式拒绝服务分布式拒绝服务 拒绝服务中更厉害的一种，叫分布式拒绝服务攻击（Distributed Denial of Service），简称DDoS。这些程序可以使得分散在互连网各处的机器共同完成对一台主机攻击的操作，从而使主机看起来好象是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作进行多种类型的攻击，如UDP flood,SYN flood等。Slide71 分布式拒绝服务攻击分类一般而言，DDoS攻击主要分为以下两种类型：带带宽宽型型攻攻击击这类DDoS攻击通过发出海量数据包，造成设备负载过高，最终导致网络带宽或是设备资源耗尽。通常，被攻击的路由器、服务器和防火墙的处理资源都是有限的，攻击负载之下它们就无法处理正常的合法访问，导致服务拒绝。流量型攻击最通常的形式是flooding方式，这种攻击把大量看似合法的TCP、UDP、ICPM包发送至目标主机，甚至，有些攻击还利用源地址伪造技术来绕过检测系统的监控。应应用用型型攻攻击击这类DDoS攻击利用了诸如TCP或是HTTP协议的某些特征，通过持续占用有限的资源，从而达到阻止目标设备无法处理处理正常访问请求的目的，比如HTTP Half Open攻击和HTTP Error攻击就是该类型的攻击。Slide72 分布式拒绝服务攻击过程 攻击入侵主机和安装程序的过程是完全自动化的，一般要经过四步：1.探测扫描大量主机以寻找可入侵的目标；2.入侵有安全漏洞的主机并获取控制权，在每台入侵主机中安装攻击程序；3.构造庞大的、分布式的攻网；4.在同一时刻，由分布的成千上万台主机向同一目标地址发出攻击，目标系统全线崩溃。Slide73 分布式拒绝服务攻击主控端代理端主控端代理端代理端代理端客户端Slide74 分布式拒绝服务攻击术语客户端用于通过发动攻击的应用程序，攻击者通过它来发送各种命令。守护程序在代理端主机运行的进程，接收和响应来自客户端的命令。主控端运行客户端程序的主机。代理端运行守护程序的主机。目标主机分布式攻击的目标（主机或网络）。Slide75 分布式拒绝服务攻击防御系统优化:对操作系统进行优化,提供靠DDOS攻击能力数据包过滤:通过防火墙或路由器关闭不需要开放的端口防火墙入侵检测系统路由器防护策略Unicast Reverse Path Forwarding(uRPF)在网络边界来阻断伪造源地址IP的攻击DDOSDDOS流量清洗设备流量清洗设备Slide76 绿盟-黑洞Slide77 常见攻击行为暴力猜解利用已知漏洞攻击特洛伊木马拒绝服务攻击嗅探sniffer社会工程Slide78 sniffer原理一个网络接口应该只响应这样的两种数据帧：1.与自己硬件地址相匹配的数据祯2.发向所有机器的广播数据帧。网卡来说一般有四种接收模式：1.广播方式：该模式下的网卡能够接收网络中的广播信息。2.组播方式：设置在该模式下的网卡能够接收组播数据。3.直接方式：在这种模式下，只有目的网卡才能接收该数据。4.混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。Slide79 sniffer方式共享式网络混杂模式sniffer、Dnsniff、Ethereal、IRIS交换式网络ARP欺骗cain、ettercapSlide80 sniffer危害可以捕获口令；可以截获机密的或专有的信息；可以被用来攻击相邻的网络或者用来获取更高级别的访问权限。Slide81 防止sniffer检查网络线路，确定各端口上没有sniffer设备检查机器的网卡模式，在sniffer存在时，窃听机器的端口被改为混杂模式（promiscuousmode）采用VPN或SSL/SSH对数据进行加密。设计合理的拓朴结构。Sniffer无法穿过VLAN和路由器，网络分段越细，则安全程度越高采用IP-MAC-端口的绑定。Slide82 常见攻击行为暴力猜解利用已知漏洞攻击特洛伊木马拒绝服务攻击嗅探sniffer社会工程Slide83 社会工程 为某些非容易的获取讯息，利用社会科学（此指其中的社会常识）尤其心理学，语言学，欺诈学将其进行综合，有效的利用（如人性的弱点），并最终获得信息为最终目的学科称为“社会工程学”黑客将此（社会工程）定义为非计算机（泛指机械）非BUG，转而使用其他（如：人际关系）以至（欺骗、欺诈、威胁，恐吓）。甚至实施物理上的盗窃。等手段获取信息的手段。Slide84 目录第一章第一章 黑客发展背景黑客发展背景第二章第二章 黑客一般攻击黑客一般攻击第三章第三章 黑客攻击前的准备黑客攻击前的准备Slide85 黑客攻击前的必备有一定计算能力及网络通讯能力的设备.有一定的持久性.有一定/扎实的技术背景.准备适当的工具(自编或下载).经常研究相关漏洞.有心理学的感觉.经常与同行交流.Slide86 漏洞扫描技术工具NMAPNESSUSNIKTOX-SCANRETINA21、要知道对好事的称颂过于夸大，也会招来人们的反感轻蔑和嫉妒。培根22、业精于勤，荒于嬉；行成于思，毁于随。韩愈23、一切节省，归根到底都归结为时间的节省。马克思24、意志命运往往背道而驰，决心到最后会全部推倒。莎士比亚25、学习是劳动，是充满思想的劳动。乌申斯基供娄浪颓蓝辣袄驹靴锯澜互慌仲写绎衰斡染圾明将呆则孰盆瘸砒腥悉漠堑脊髓灰质炎(讲课2019)脊髓灰质炎(讲课2019)